※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-021 | 기술적 보안 | FTP 서비스 접근 제어 설정 미비 | FTP는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하며, 적절한 접근통제 정책 미적용 시 비인가자에게 시스템 파일이 노출될 수 있으므로 FTP 접근 제어 설정의 적절성 여부를 점검 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 비인가자의 FTP 접속을 방지하여 계정 정보를 노출 및 시스템 파일 유출 등이 되지 않도록 하기 위함
● 보안위협
- 적절한 접근 제어를 수행하지 않을 경우 비인가자의 FTP 접속 또는 아이디 및 패스워드가 노출될 수 있음
● 판단기준
* 양호 - 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용한 경우
* 취약 - 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우
● 확인방법
- /etc/hosts.allow , /etc/hosts.deny 파일을 통해 호스트별 접근통제(두개 파일 모두 사용 시 hosts.allow가 먼저 반영)
# cat /etc/hosts.allow
* 허용할 호스트 설정파일 : /etc/hosts.allow
# cat /etc/hosts.deny
● 조치방법
- 특정 ip 또는 특정 호스트에 대해서만 서비스 허용 설정
step 1) vi /etc/hosts.allow
* 허용할 호스트 설정파일 : /etc/hosts.allow
ALL : LOCAL 모든 서비스에 대해서 로컬서버에 허용
vsftpd: 127.0.0.1 vsftpd 서비스에 대해서 자신만 허용
step 2) vi /etc/hosts.deny
* 거부할 호스트 설정파일 : /etc/hosts.deny
ALL:ALL 모든 서비스에 대해서 모든 호스트 거부
step 3) ftpd 재기동
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV-025 (0) | 2023.08.02 |
|---|---|
| 서버 보안 취약점 평가_SRV-022 (0) | 2023.08.01 |
| 서버 보안 취약점 평가_SRV-015 (0) | 2023.07.31 |
| 서버 보안 취약점 평가_SRV-012 (0) | 2023.07.28 |
| 서버 보안 취약점 점검_SRV-013 (0) | 2023.07.27 |